Update: Swisstransplant löscht 1000 Organspende-Erklärungen

Update vom 28.01.2022: Das digitale Organspende-Register "Swisstransplant" hat sein Anmeldeformular wieder von der Website genommen. Nun arbeitet die Stiftung gemäss "Watson.ch" wohl an der Behebung der von "SRF Investigativ" aufgedeckten Sicherheitslücken.

Trotz der kritischen Medienberichte erhielt "Swisstransplant" rund 1000 neue Organspende-Erklärungen. Diese sollten jedoch nicht ins Organspende-Register eingetragen werden, bis die Organisation die Identität der neu angemeldeten Personen überprüfen konnte. Das Verfahren verlief nun aber nicht so, wie geplant. "Die Registrierungs- und Identifizierungsprozesse konnten nicht so einfach getrennt werden", sagt Swisstransplant-Direktor und Herzchirurg Franz Immer auf Anfrage von "Watson.ch".

Das hat Folgen für die 1000 Neueinschreibungen: Ihre Daten werden gelöscht. "Wir werden diese vielen Menschen persönlich darüber informieren, dass sie sich neu registrieren sollten, sobald das System definitiv umgestellt ist", erklärt der Direktor weiter. Die Stiftung wolle nun verschiedene Anbieter von digitalen Identifizierungsprozessen prüfen, um das Dilemma zu lösen.

Originalmeldung vom 28.01.22: Datenschutz-Desaster beim Organspende-Register "Swisstransplant"

Das digitale nationale Organspende-Register "Swisstransplant" weist gravierende Sicherheitslücken auf. Zu diesem Schluss kommt eine Recherche von "SRF Investigativ" in Zusammenarbeit mit ZFT.Company. Der Hauptvorwurf: Im Nationalen Organspende-Register ist es möglich, jede Person ohne ihr Wissen zur Organspenderin zu machen. Dies, weil die Betreiber der Plattform die Identität der sich registrierenden Personen nur ungenügend überprüfen. Im Bericht ist zu sehen, wie sich mittels eines im Internet gefundenen Fotos ein Eintrag im digitalen Organspende-Register erstellen lässt.

Organspende-Entscheide in fremdem Namen

In seinem Bericht (hier als PDF) urteilt das Unternehmen ZFT.Company: "Aufgrund der Manipulationsmöglichkeiten bei der Bereitstellung eines Fotos einer Person oder eines Scans eines Ausweisdokuments ist zu keinem Zeitpunkt der Registrierung gewährleistet, dass die Einwilligung auch durch die betroffene Person durchgeführt wird." Auch die Entscheide zur Organspende konnten die Sicherheitsforschenden nach der Registrierung unter fremdem Namen einreichen.

ZFT.Company empfiehlt, die Identität der eintragungswilligen Person "rechtsgültig durch vom Benutzer unabhängige und zulässige Instanzen" festzustellen. Zudem seien die auf der Plattform hinterlegten Entscheide als nicht authentisch anzusehen und zu überprüfen.

Dateizugriff für alle

Weiter bemängelt ZFT.Company das auf E-Mail und SMS basierte Verfahren zur Zwei-Faktor-Authentifizierung (2FA). "Ein per SMS oder E-Mail verschickter Code erfüllt nicht die Anforderungen an einen Besitzfaktor. Allein der Zugriff auf eine E-Mail ist ausreichend, um ohne weiteren Faktor eine erfolgreiche Authentisierung durchzuführen", heisst es im Bericht.

Und noch beunruhigender: Laut dem Bericht war es auch für jedermann möglich, beliebige Dateien vom Server des Organspende-Registers auszulesen sowie Daten zu Lebertransplantationen abzurufen oder gar zu manipulieren.

Betreiberin wiegelt ab

Die Stiftung "Swisstransplant", welche die gleichnamige Plattform betreibt, nahm nach Bekanntwerden der Vorwürfe das Organspende-Register für einige Tage vom Netz. Inzwischen ist es wieder zugänglich. In einer Stellungnahme räumt die Stiftung ein, dass aufgrund einer fehlenden Validierung auf Dateien ausserhalb der freigegebenen Dateistruktur zugegriffen werden konnte. Dies sei inzwischen korrigiert worden. Die Stiftung fügt an: "Da im Nationalen Organspenderegister eindeutige, nicht erratbare Pfad- und Dateinamen verwendet werden, war ein Zugriff auf Personendaten trotz dieser fehlenden Validierung zu keinem Zeitpunkt möglich."

Kein Gehör findet bei Swisstransplant der Vorwurf der ungenügenden Zwei-Faktor-Authentifizierung. Die Stiftung vertritt die Meinung, "dass die Anforderungen an eine 2FA erfüllt sind, da diese aus zwei unterschiedlichen und vor allem unabhängigen Komponenten (Passwort und E-Mail/SMS) bestehen". Es gäbe zwar weitere 2FA-Methoden, welche jedoch nicht als sicherer einzustufen seien.

Auch die geforderte Identitätsüberprüfung findet bei Swisstransplant wenig Anklang. Die Äusserung des Organspendewillens unterstehe keinen Formvorschriften, argumentiert die Stiftung, und fährt fort: "Weiter wäre diese Art von Dokumentenüberprüfung bei der Organspende aus zeitlichen Gründen nicht praktikabel." Das bei der Stiftung erstellte Datenblatt werde stattdessen im Ernstfall passwortgeschützt dem Spital übermittelt und den Angehörigen der jeweiligen Person physisch vorgelegt, wonach diese es verifizieren können.

Weiter merkt die Stiftung an, dass durch die Verwendung eines Fotos einer anderen Person und Unterschriftenfälschung eine strafbare Handlung wie Urkundenfälschung begangen werde. So sei es in praktisch jedem Bereich möglich, Dokumente zu fälschen.

EDÖB wird aktiv

Als Folge der "SRF"-Recherche hat der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Sachverhaltsabklärung eingeleitet. Die Bekanntmachung der Mängel sei geeignet, das Vertrauen der Öffentlichkeit in das System der Organspende in der Schweiz zu beeinträchtigen, teilt die Behörde mit. "Vor diesem Hintergrund soll die eingeleitete Sachverhaltsabklärung dazu beitragen, dass trotz Fehlens einer staatlich anerkannten elektronischen Identität datenschutzkonforme Lösungen zur Bearbeitung der fraglichen Personendaten gefunden werden können."

Die Recherchen rund um das Portal "Swisstransplant" wecken Erinnerungen an das nationale Impfregister "Meineimpfungen.ch". Dieses musste den Betrieb einstellen, nachdem gravierende Sicherheitsmängel in der Plattform öffentlich wurden. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.